EP2436166B1

EP2436166B1 - Interface de service

Info

Publication number: EP2436166B1
Application number: EP10736596.7A
Authority: EP
Inventors: Robert Manfred Albrecht; Ronald Brandt
Original assignee: Deutsche Telekom AG
Current assignee: Deutsche Telekom AG
Priority date: 2009-05-28
Filing date: 2010-05-05
Publication date: 2016-03-23
Anticipated expiration: 2030-05-05
Also published as: HUE029009T2; EP2436166A1; ES2580677T3; WO2010136003A1; DE102009022977A1; PL2436166T3

Claims

Un procédé permettant à un utilisateur U1 d'accéder de façon sécurisée à son ordinateur C1 au sein d'un premier réseau local A, pour des services numériques (13, 15, 16) au sein d'un second réseau local B, dans lequel les deux réseaux sont sécurisés au moyen d'un pare-feu (7, 8), et dans lequel les deux réseaux sont connectés via un Nab de réseau disposés entre les pare-feux, comprenant les étapes :
- authentification de l'utilisateur U1 au niveau du premier pare-feu (7, 8) ;

- détermination, suite à l'authentification, au moyen d'une règle que l'utilisateur U1 est autorisé à accédé à un serveur de saut spécifique (13, 15, 16) au sein du Nab de réseau ;

- accès au serveur de saut (9, 10) et authentification de l'utilisateur U1 au niveau du serveur de saut (9 10), et affectation d'une unique adresse IP dépendant de l'authentification ;

- accès au service (13, 15, 16) au sein du second réseau B via le serveur de saut (9, 10), dans lequel intervient une authentification de l'adresse IP sur le second pare-feu (7, 8) ;

- détermination d'une règle sur le second pare-feu (7, 8) sur la base de l'adresse IP pour vérifier que l'accès au service (13, 15, 16) peut être autorisé, si un accès est autorisé, la transmission de la requête du serveur de saut (9, 10) au service (13, 15, 16) au sein du second réseau B.
Le procédé selon la revendication précédente, dans lequel une ou plusieurs adresses IP utilisées par le serveur de saut sont affectées de manière unique à un utilisateur.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel les règles et/ou les adresses IP affectées à un utilisateur sont stockée au sein d'un répertoire central, tel que LPAD.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel un procédé d'enregistrement unique est utilisé pour l'authentification au premier pare-feu et au second pare-feu et/ou au serveur de saut.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel le réseau Nab est une zone démilitarisée, DMZ.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel les connexions entre le pare-feu, le serveur de saut et les services sont chiffrées.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel il y a une pluralité de pare-feux, qui sont conçus dans un esprit de redondance, de façon à ce que, à tout moment, l'accès peut être réalisé à un serveur de saut dans une ou plusieurs DMZ.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel différentes DMZ sont adressées par le pare-feu, si l'une quelconque des DMZ n'est pas atteignable ou si les serveurs qui sont au sein de la DMZ ne peuvent être atteints.
Le procédé selon une ou plusieurs des revendications précédentes, dans lequel un équilibrage de charge intervient pour une pluralité de serveur de saut, de façon à éviter que ne se produise une surcharge d'un seul côté des serveurs de saut.